IT 管理员 - 使用 Microsoft 标识管理外部会议并与人员和组织聊天

  • 项目
  • 适用于:
    Microsoft Teams

借助 Teams 中的 外部访问 功能,可以允许组织中的用户与组织外部使用 Microsoft 作为标识提供者的人员聊天和会面。 可以使用以下方法配置外部访问:

  • 其他 Microsoft 365 组织 (聊天和会议)

  • 非组织管理的 Teams 用户 (使用 Microsoft 帐户 的用户仅) (聊天)

  • Skype 用户仅 (聊天)

组织中的用户可以接受或阻止来自组织外部人员的传入聊天。 有关详细信息,请参阅 接受或阻止组织外部向你发送聊天的人员

请注意,这些来自组织外部的人员无权访问你的团队、站点或其他 Microsoft 365 资源。 如果希望他们有权访问你的团队和频道,请参阅 与团队中的来宾协作 和在 共享频道中与外部参与者协作

注意

当用户主持会议或与组织外部的人员聊天时,可以添加应用。 他们还可以在加入外部托管的会议或聊天时使用由外部用户共享的应用。 将应用主持用户组织的数据策略,以及该用户组织共享的任何第三方应用的数据共享实践。 详细了解组织外部人员使用应用

请务必注意,Teams 中的其他设置(包括来宾访问和匿名访问)会影响与组织外部人员的会议。 有关详细信息 ,请参阅在 Microsoft Teams 中计划与外部参与者 的会议。

会议大厅可以控制组织外部人员加入会议的方式。 有关详细信息,请参阅 控制谁可以绕过 Microsoft Teams 中的会议大厅为敏感会议配置 Microsoft Teams 会议大厅

用于外部访问的组织设置和用户策略

每个外部访问选项都具有组织设置和用户策略。 组织设置适用于整个组织。 用户策略确定哪些用户可以使用你在组织级别配置的选项。

配置组织设置以指定要允许的外部会议和聊天类型,然后为应该有权访问这些功能的用户配置用户策略。 请注意,组织设置和用户策略默认处于打开状态。

对于要使用外部访问的用户,组织设置和用户策略都必须允许它。

使用以下选项卡上的过程配置组织设置和用户策略。

在本部分中,可以配置:

还可以 使用 PowerShell 配置这些设置

指定受信任的 Microsoft 365 组织

对于与其他 Microsoft 365 组织的会议和聊天,可以指定要信任的域。 默认情况下,允许所有外部域。 可以允许或阻止某些域,以定义组织信任外部会议和聊天的组织。

为了与外部域中的人员聊天和会面,你信任的组织也必须信任你的组织,并且必须为其用户启用外部访问。 否则,他们将无法与组织中的用户聊天,并在加入组织托管的会议时被视为匿名。 详细了解与其他 Microsoft 365 组织的会议

可以指定允许哪些域或阻止哪些域。 如果指定阻止的域,则允许所有其他域;如果指定允许的域,则会阻止所有其他域。 配置受信任的组织有四种方案:

  • 允许所有外部域 - 这是 Teams 中的默认设置,它允许组织中的用户在任何域中查找、呼叫、聊天和设置与组织外部人员的会议。

    在此方案中,用户可与运行 Teams 或Skype for Business的所有外部域通信,前提是其他组织也启用了外部访问。

  • 仅允许特定的外部域 - 通过将域添加到 “允许” 列表,可将外部访问限制为仅允许的域。 设置允许的域列表后,将阻止所有其他域。

  • 阻止特定域 - 通过将域添加到“阻止”列表中,可与除阻止的域之外的所有外部域进行通信。 设置阻止域列表后,将允许所有其他域。

  • 阻止所有外部域 - 阻止组织中的用户在任何域中查找、呼叫、聊天和设置组织外部人员的会议。

注意

如果允许匿名访问,来自被阻止域的人员仍可以匿名加入会议。 若要了解详细信息,请参阅 管理对 Teams 会议的匿名参与者访问权限

外部域设置的屏幕截图

允许特定域

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”

  2. 选择用户有权访问的域 下,选择 仅允许特定外部域

  3. 选择 允许域

  4. 框中,键入想要允许的域,然后单击 完成

  5. 如果要允许其他域,请单击 添加域

  6. 单击“保存”。

阻止特定域

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”

  2. 选择用户有权访问的域 下,选择 仅阻止特定外部域

  3. 选择 阻止域

  4. 框中,键入想要允许的域,然后单击 完成

  5. 如果要阻止其他域,请单击 添加域

  6. 单击“保存”。

默认情况下,阻止域时,不会阻止子域。 例如,如果阻止 contoso.com,则不会阻止 marketing.contoso.com。 如果要阻止所有子域,可以将 Set-CsTenantFederationConfiguration PowerShell cmdlet 与 参数一起使用 -BlockAllSubdomains 。 例如:

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

诊断工具

如果你是管理员,则可以使用以下诊断工具来验证 Teams 用户是否可以与受信任组织中的 Teams 用户通信:

  1. 选择下面的“运行测试”,这将填充Microsoft 365 管理中心的诊断。

    运行测试:Teams 受信任的组织

  2. 在“运行”诊断窗格中,输入 会话初始协议 (SIP) 地址联合租户的域名,然后选择 运行测试

  3. 测试返回后续最佳步骤,以解决阻止与外部 Teams 用户通信的任何设置或策略配置。

Skype for Business Online

如果希望聊天和呼叫到达用户的Skype for Business客户端,请将用户配置为处于 TeamsOnly 以外的任何模式。 有关详细信息,请参阅了解 Microsoft Teams 和Skype for Business共存和互操作性

管理与非组织管理的外部 Teams 用户的聊天和会议

可以选择启用或禁用与外部非托管 Teams 用户的聊天, (非组织管理的用户,例如 Microsoft Teams (免费) ) 。 如果允许与非托管 Teams 用户聊天,可以进一步控制用户与他们通信的方式:

  • 可以控制非托管 Teams 用户是否可以启动与用户的通信。
  • 可以创建用户可以与之通信的外部用户配置文件列表。
  • 如果需要,可以限制与外部用户配置文件列表的通信。

注意

与外部非托管 Teams 用户的聊天和会议在 GCC、GCC High 或 DOD 部署或私有云环境中不可用。

允许使用非托管 Teams 帐户进行聊天和会议

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”

  2. 开启 组织中的人员可以与帐户不受组织管理的 Teams 用户进行通信 设置。

  3. 如果要允许外部非托管 Teams 用户开始对话,请选中“ 具有非组织管理的 Teams 帐户的外部用户可以联系我组织中的用户 ”复选框。

  4. 如果要将与具有非托管 Teams 帐户的人员的通信限制为特定的用户配置文件列表,请选中“ 限制与添加到扩展目录的外部用户配置文件列表的通信 ”复选框,然后选择“ 管理外部用户配置文件 ”以添加要允许的用户配置文件。 (请参阅下面的 管理外部用户配置文件 。)

    注意

    Microsoft Teams 教育版 中的父连接不支持将通信限制为添加到扩展目录的外部用户配置文件列表。

  5. 选择“保存”。

外部帐户设置的屏幕截图

请注意,如果 具有非组织管理的 Teams 帐户的外部用户可以联系我组织中的用户 处于关闭状态,则非托管 Teams 用户无法按电子邮件地址搜索以查找组织中的用户。 与非托管 Teams 用户的所有通信必须由组织中的用户发起。

阻止与非托管 Teams 帐户聊天

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”

  2. 关闭 组织中的人员可以与帐户不受组织管理的 Teams 用户进行通信 设置。

  3. 选择“保存”。

管理外部用户配置文件

外部用户配置文件基于电话号码。 你可以添加组织外部人员的姓名和电话号码,他们将在移动设备上使用 Teams 邀请他们与组织中的人员进行通信。 如果他们未安装 Teams,他们将收到一个链接,用于通过短信进行安装。 创建 Teams 帐户后,还可以在桌面上使用 Teams。 可以使用 Azure AD 中的扩展目录用户管理员角色委托对用户配置文件的管理。

为组织外部的人员添加配置文件后,用户可在 24 小时内按姓名或电话号码搜索该配置文件。 用户可以开始与外部用户的 1:1 或群组聊天,并可以使用指定的信息查看外部用户的个人资料卡。

当用户开始与外部用户的聊天时,外部用户可以允许或阻止连接。

重要

你的组织是你添加的外部用户配置文件的数据控制者。 这可能会影响 GDPR。 有关详细信息,请参阅 常规数据保护条例摘要

添加外部用户配置文件

  1. 选择 “管理外部用户配置文件”。
  2. 选择“添加”。
  3. 键入联系人的 显示名称 。 (用户将能够搜索 Teams.)
  4. 键入 国家或地区代码电话号码
  5. 添加要包含的任何其他信息。
  6. 阅读“数据控制器”语句,然后选择“检查”框同意。
  7. 选择“保存”。

可以通过选择配置文件,然后选择 “删除”来删除现有配置文件。

导入配置文件列表

如果要通过 .csv 文件上传用户列表,可以下载模板文件,添加要包含的人员及其电话号码,然后上传该文件。

下载 .csv 模板

  1. 在“管理外部用户配置文件”页上,选择命令栏上的“ 导入 ”。
  2. 选择 “下载模板”。

模板中的必填字段为 DisplayNamePhoneNumber。 其他字段是可选的。

上传已完成的模板文件

  1. 在“管理外部用户配置文件”页上,选择命令栏上的“ 导入 ”。
  2. 选择 “选择文件”。
  3. 选择要上传的文件,然后选择“ 打开”。
  4. 如果要更新现有配置文件的配置文件信息,请选中“ 更新现有外部用户 ”复选框。
  5. 阅读“数据控制器”语句,然后选择“检查”框同意。
  6. 选择“ 导入”。

使用 PowerShell 限制与扩展目录中用户配置文件的通信

还可以在 PowerShell 中使用 Set-CsExternalAccessPolicy cmdlet 和 RestrictTeamsConsumerAccessToExternalUserProfiles 参数来配置“限制与添加到扩展目录的外部用户配置文件列表的通信”。 例如:

Set-CsExternalAccessPolicy -Identity Global -RestrictTeamsConsumerAccessToExternalUserProfiles $true

将通信限制为默认全局外部访问策略的扩展目录中的用户配置文件列表。

管理与 Skype 用户的聊天和通话

请按照以下步骤,让你组织中的 Teams 用户与 Skype 用户聊天和通话。 然后,Teams 用户可以搜索和启动与 Skype 用户之间的一次性文本对话或音频/视频通话,以及反向操作。

Skype 用户不支持会议。 如果受邀参加会议,则他们加入时被视为匿名。

注意

与 Skype 用户的外部通信在 GCC、GCC High 或 DOD 部署中或私有云环境中不可用。

配置与 Skype 用户的聊天和通话

  1. 在 Teams 管理中心,转到 “用户”>“外部访问”

  2. 打开或关闭 “允许我组织中的用户与 Skype 用户通信 ”设置。 Skype 用户设置的屏幕截图。

  3. 选择“保存”。

若要深入了解 Teams 用户和 Skype 用户之间的通信方式(包括适用的限制),请参阅 Teams 和 Skype 的互操作性

使用 PowerShell 配置组织设置

可以使用 Set-CSTenantFederationConfiguration cmdlet 配置受信任的组织。

下表显示了用于配置受信任组织的 cmdlet 参数。

配置 参数
允许或阻止与其他 Teams 组织和Skype for Business -AllowFederatedUsers
指定允许的域 -AllowedDomains
指定阻止的域 -BlockedDomains
阻止子域 -BlockAllSubdomains

可以使用 Set-CSTenantFederationConfiguration cmdlet 配置与非组织管理的 Teams 用户和 Skype 用户的聊天。

下表显示了用于配置与 Skype 和非托管 Teams 用户的聊天的 cmdlet 参数。

配置 参数
允许或阻止与非组织管理的 Teams 用户聊天 -AllowTeamsConsumer
允许或阻止未由组织管理的 Teams 用户开始对话 -AllowTeamsConsumerInbound
允许或阻止与 Skype 用户聊天 -AllowPublicUsers

必须先连接到 Microsoft Teams PowerShell,然后才能运行这些 cmdlet。 有关详细信息,请参阅 使用 Microsoft Teams PowerShell 管理 Teams

合规性和外部访问

请参阅以下参考,了解外部访问如何与 Microsoft 365 中的合规性功能配合使用。

使用来宾访问权限和外部访问权限与组织外部的人员进行协作

在 Microsoft Teams 中搜索审核日志查找事件